Dit is de derde en daarmee het laatste deel van de blogs over de mogelijkheden die je hebt om ervoor te zorgen dat je de juiste keuzes maakt voor jouw organisatie op het gebied van cybersecurity. We gaan in deze blog in op de meer geavanceerde maatregelen.
Niveau 3: geavanceerde maatregelen
In de vorige twee blogs is ingegaan op de minimale vereisten en op de basismaatregelen. De minimale vereisten, die hoor je als organisatie op orde te hebben. Bij de basismaatregelen is er gekeken naar concrete producten of diensten die voor een specifiek doel worden ingezet. Daarmee heb je in feite het laaghangende fruit op het gebied van cybersecurity voor jouw organisatie geplukt.
De nu volgende maatregelen gaan weer een stap verder. De maatregelen die zijn aangegeven bij niveau 1 en 2 richten zich vooral op het voorkomen van incidenten. Zoals je het kent van de Delftsblauwe tegeltjes: voorkomen is beter dan genezen. Dat betekent binnen cybersecurity dat je op een punt komt dat het nemen van additionele preventieve maatregelen niet langer kostenefficiënt is. Nog sterker, het kan zelfs zo zijn dat deze additionele preventieve maatregelen ervoor zorgen dat het normaal kunnen werken onmogelijk wordt gemaakt of dat de meerkosten voor nog betere preventie niet meer opwegen. Het is dan zaak om je te richten op detectie en mitigatie, want hoe je het ook wendt of keert, niet alles is te voorkomen. In die gevallen is genezen noodzakelijk.
Afwijkingen detecteren
Inzicht in wat er in je IT-infrastructuur gebeurt is noodzakelijk om te kunnen beveiligen. Hierbij zijn er grofweg twee benaderingen: statische en dynamische detectie. Beide gaan uit van het ontsluiten van logbronnen, denk hierbij aan Active Directory, een firewall, DNS, Office 365 en specifieke bedrijfsapplicaties zoals CRM, ERP, EPD, LMS. Statische detectie is detectie volgens vaste regels waarbij je signaleert als er zich iets voordoet wat je op voorhand bedacht hebt; als er verkeer naar een bekende botnet control server gaat dan bestempelen we dat als malafide. Dynamische detectie gaat uit van afwijkingen ten opzichte van normaal gedrag, als de betalingen die Judith doet qua bedrag afwijken van alle andere medewerkers van de financiële administratie dan verdient dat aandacht.
Dynamische detectie werkt op basis van machine learning en wordt afgestemd op jouw medewerkers en organisatie om te bepalen wat normaal is. Zo past de beveiliging zich aan jouw bedrijfsvoering aan. Afhankelijk van de gedefinieerde risico’s kies je de benodigde logbronnen en ben je in staat je digitale assets te beschermen.
Inrichting van je netwerk
De basis van elke IT-infrastructuur is een netwerk. Netwerken bestaan er in allerlei soorten en maten. Dit kan een netwerk zijn in je eigen datacenter, bij een serviceprovider of bij een van de grotere cloudpartijen. Netwerkverkeer in zichzelf bevat al enorme hoeveelheden met informatie, informatie waar je veelal geen zicht op hebt. Het analyseren van netwerkverkeer op dreigingen maakt het mogelijk om, voordat een hack succesvol is, al zicht te hebben op verdachte activiteiten. Dit biedt je dan ook de mogelijkheid om een hacker tijdig te stoppen.
Daarnaast is het zinvol om te kijken naar meer geavanceerde middelen om je endpoints te beschermen. Niet een traditioneel antivirusprogramma, maar een volwaardige EDR-oplossing die behalve het blokkeren van malware ook data verzamelt om cybersecurityanalyses op een endpoint mogelijk te maken.
Data verrijken en correleren
Het is niet moeilijk om beveiligingsinformatie te verkrijgen. Het lastige aan cybersecurity is om er niet in te verzuipen. Je wil zicht houden op al deze informatie en deze in samenhang te beoordelen. Om dit voor elkaar te krijgen heb je SIEM-oplossingen. SIEM staat voor Security Information & Event Management. Door alle systemen aan dit SIEM te koppelen krijg je alle security-informatie op één plaats binnen. Nog mooier is dat een SIEM je helpt om deze events te correleren.
Maar een SIEM heeft geen zicht op gedrag in je netwerk. Door een SIEM aan te vullen met UEBA (User and Entity Behavioural Analytics) krijg je zicht op het gedrag van medewerkers en apparatuur. Zo kan je dreigingen traceren naar een medewerkers, een account of een device – en niet alleen naar een IP-adres.
Zelf doen of uitbesteden?
De conclusie is dat er vele tools zijn om je te helpen. Een van de belangrijkste vragen op dit punt is echter of je deze middelen wel zelf wil beheren. Past het bij je dienstverlening om een 24/7 cybersecurityorganisatie op te tuigen en te zorgen dat deze de juiste kennis heeft en over de juiste middelen beschikt? Als het antwoord hierop ‘nee’ is, dan kan je stellen dat je op zoek bent naar een Security Operations Centre (SOC). Door een SOC als dienst af te nemen profiteer je van de kennis en kunde, maar ook van de capaciteit, om 24/7 je infrastructuur te bewaken. Met name dat laatste is van belang, omdat cybercriminelen zich nou eenmaal niet aan jouw kantoortijden houden. Toch flauw van ze.
Heb je wel een eigen SOC dan moet je dat ook onderhouden. Het blijft immers een wedloop tussen criminelen en degenen die de assets beveiligen. Natuurlijk moet je met trainingen, cursussen, workshops en certificeringen kennis op peil houden. Daarnaast is het, net zoals met awareness-trainingen, zinvol om te toetsen of het effect er ook is. Dat doe je door bijvoorbeeld red teaming in te zetten. Dit is eenvoudig gezegd een manier waarbij je een andere partij vooraf toestemming geeft om te proberen bij je in te breken. En dan is het natuurlijk zaak dat je SOC dit tijdig opmerkt en de aanval pareert. Uiteraard geldt daarbij ook dat, indien de aanval niet wordt afgeslagen, je dit een heleboel informatie geeft over de stand van zaken van je SOC.
Conclusie
Op papier klinkt dit allemaal mooi, maar de stappen die je in deze fase wilt gaan nemen hebben het meeste nut en de grootste slagingskans als cybersecurity ook daadwerkelijk is ingebed in de hele organisatie. Dat betekent dus ook dat bijvoorbeeld bij het inkoopproces standaard cybersecurityaspecten worden meegewogen (die slimme koelkast die we kopen, krijgt die ook updates?). Dat betekent dat het lijnmanagement het eigenaarschap op zich neemt van haar informatiestromen en daarmee ook de verantwoordelijkheid voor het nemen van passende cybersecuritymaatregelen. Dat awareness-trainingen onderdeel van het dienstenportfolio van HRM / personeelszaken zijn. Last but not least, het spreekt bijna vanzelf maar uiteraard is cybersecurity voor organisaties in deze fase een agendapunt dat door de directie structureel behandeld wordt en waar structureel budget aan toegekend wordt.